摘 要：大数据时代，APP个人信息共享已然成为提高信息利用率、为用户提供优质服务、促进数字经济发展的有力手段。APP数据共享中个人信息兼具人格权与财产权属性，同时具有丰富性、价值性、脆弱性等特征。但目前个人信息共享仍存在许多困境，突出表现在个人信息处理者的义务有待厘清、个人信息监管“多头混治”、对个人信息的救济不足等方面。对此，应当在恪守知情同意原则的前提下规范个人信息处理者的义务，包括个人信息处理者的详尽告知义务、敏感个人信息的单独告知义务以及“三重授权”原则下的披露义务。为了更好实现个人信息共享，还应优化我国个人信息监管机制，强化公益诉讼功能，着力提升个人信息保护意识和能力。

关键词：信息共享；个人信息保护；知情同意；完善路径

中图分类号：D9 文献标识码：Ａ 文章编号：１００９ — ２２３４（２０23）01 — ０102 — ０5

一、APP个人信息共享概述

（一）APP个人信息共享的概念内涵

随着大数据时代的发展进步，个人信息共享在数字经济发展进程中作用日益凸显。个人信息共享的范围逐步扩大，已经拓展到网络购物、求职招聘、广告推送、相亲交友、房屋租赁等经济生活的各个领域。在《信息安全技术个人信息安全规范》中，对于个人信息共享有明确定义，即信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。换言之，个人信息共享体现了不同信息控制者之间对于信息处理权的分享过程。［1］而APP个人信息共享则是将信息控制者的身份赋予APP，使个人信息的处理权在不同APP之间进行分享。

（二）APP数据共享中个人信息的显著特征

在APP对个人信息等有关数据与第三方共享的过程中，个人信息呈现出不同于静态个人信息的诸多特点，主要体现在以下四方面。

1.个人信息呈现丰富性。一般大多数个人信息为静态信息或是可以修改的信息。但随着平台经济下网络与信息技术的迅猛发展，个人信息获取方式呈现多样化、获取内容范围也日渐扩大化，可利用的个人信息变得更加丰富。许多手机APP获取个人信息的内容及范围拓展为用户访问足迹、IP地址、生物信息、手机位置等。例如：消费者浏览某电商网站或搜索某些商品后，对应电商平台或网站就会出现个性化的推荐营销。在相关网站采取了一定技术手段后，消費者的网络浏览记录也成为了消费者个人信息之一。此外，通过大数据挖掘、融合分析等技术开发，更多有使用价值的新信息内容被不断利用。总体上看，个人信息的种类越多，通过信息分析与对比就越可能识别具体个人；［２］长期来看，诸多以往看似与个人无关的信息，都可能和其他信息建立相关性，并指向一个特定的个体，成为个人信息。［３］

2.个人信息极具价值性。在前互联网时代，通常认为个人信息没有经济价值，只是作为身份信息而独立存在。然而，随着网络信息传播速度日益加快，以及平台经济规模不断扩大，个人信息的经济价值愈发明显。首先，信息本身具有非常强的连接能力，连接在一起的信息往往能够形成一个巨大的“价值链”，这也意味着某些APP通过应用平台，采取转移、购买或其他方式，可以得到大量个人信息数据，可能获得更多的优质客户或大量潜在用户。其次，APP通过采集用户信息相关数据，进行大数据对比分析，既可以更好地推动个性化产品与服务的发展，也可以更加精准地服务用户，有效满足其个性化需求。最后，以个人信息的价值化连接为基础，可以衍生、提炼出诸多的创新点，基于这些创新点也可以设计、打造出更多新产品。

3.个人信息具有脆弱性。当前个人信息的存储方式不同以往，通常以电子形式存储在网络中，具有流通快、传播广的特点。故此，用户个人信息传播方向实际上很难受数据权利人的支配，大大增加了个人信息泄漏的风险隐患，甚至被非法利用，致使个人的合法利益受到严重侵害。现实生活中，很多企业与个人之间尚未建立接收方能否再次共享个人信息的制约机制，且个人信息被不合理共享后，信息权利人寻找共享源头、寻求救济较为困难。

4.个人信息具有人格与财产双重属性。多数学者认为，个人信息应当是一个独立的权利客体，权利人依法对个人信息享有权益。［4］当然，个人信息权作为一项新型的民事权利，如何确定其在民法上的性质与定位，目前还存在着较大争议，如人格权说、财产权说、人格兼财产权说、新型权利说等。经综合对比分析，笔者更倾向于人格兼财产权说。一是个人信息具有财产属性。个人信息确有财产因素，许多信息资料中蕴藏着商业价值，并可作为财产加以利用。［5］特别是在大数据环境下个人信息在被不断流转中逐渐被信息处理者所控制，个人信息商品化现象突出，其财产价值体现尤为明显。［6］二是个人信息具有人格属性。一方面，个人信息具有可识别性和排他性，人格特征体现明显。APP通过信息处理、数据分析，大大增加了个人信息转化为隐私的可能性，这与人格利益密切相关。另一方面，法律规定自然人对本人信息具有自主支配权，应排除他人的非法干涉，这也表明数据共享下个人信息具有人格属性。为此，信息主体的这种权利构造与姓名权、生命权等人格权相同，皆属于民法中的绝对权。①

二、数据共享条件下个人信息保护的现实困境

（一）违规收集、共享个人信息问题依然突出

2022年上半年《全国移动互联网应用安全报告》中的数据显示②，随着移动互联网应用加速增长，收集个人信息的技术实现方式与途径日趋多样化，违规违法收集、共享个人信息问题逐渐加剧。主要体现三方面。一是未经用户同意私自收集个人信息；二是采取格式条款或文字游戏等手段，在用户不知情状态下诱导用户作出同意表示；三是未根据业务实际需要，随意扩大范围，收集个人相关信息，在某种程度上侵犯了个人隐私。鉴于以上情况，有关部门对7.8万余款移动互联网应用集中进行了个人信息合规性抽样检测，发现APP强制、过度索取权限、违规收集、使用存在个人信息等情形，占比高达59.2%。上述行为严重背离、违反了采集个人信息应当遵守“最小化原则”的相关法律规定。

1.个人信息处理者的告知义务有待厘清。现实生活中，大部分APP设置隐私政策时，貌似履行了告知义务，实际上流于形式。一是隐私政策通常采用格式条款，内容极其庞杂，形式上多是一些专业术语，用户难以快速理解。二是关于个人信息收集、共享规则等隐私政策，在用户浏览页面上标注不显著、不突出，有时难以快速发现，甚至直接设置为默认选项。三是隐私条款内容普遍存在文字过小、过密问题，有的颜色过浅、不易识别，甚至没有简体中文版，导致用户在阅读时很难在短时间内做出合理、正确的判断。

2.信息权利人连带授权较为被动。平台非法利用个人信息与消费者基于交易被迫知情同意有一定程度的联系。［7］平台运营者为了合法化收集消费者个人信息，使其在发生相关纠纷时能脱离法律责任，通常会在消费者使用平台之前告知隐私政策或者在用户协议中制定隐私告知条款，私自设置将用户个人信息可以转让第三方共享的选项。但是在许多平台中，若消费者对于该隐私政策或隐私条款产生异议选择“不同意”，则无法继续使用该平台。所谓“同意”其实已经不是消费者意思自治的选择，而是一种不得不做出的意思表示，这种被迫“知情同意”易使消费者陷入两难境地，从而导致消费者个人信息被非法利用的几率明显增大。现实生活中，一些个人用户不得不承认这一“霸王条款”，间接损害了用户对个人信息的所有权、选择权和控制权。个人信息连带授权通常会导致信息权利人既无法选择共享与否，也无法选择共享对象，从而无法做出有效的同意。

（二）个人信息救济机制尚未充分发挥作用

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第69条规定，自然人信息主体在个人信息权益受到损害后可以提起侵权之诉。但在司法实践中，现有提起诉讼的个人信息主体中，仅有8.1%的人获得了赔偿。［8］由此可见，我国目前还未建立起高效、低成本的个人信息权利救济机制，主要体现在三方面。第一，信息主体寻求司法救济的成本过高且难度较大。个人信息以非法共享形式被侵害的过程具有隐蔽性，结果具有潜伏性和无形性，根据我国现有的举证规则，信息主体的诉讼请求难以得到支持，［9］许多信息主体也因持“吃一堑，长一智”的心态放弃维护自身权益。另外，信息处理者掌握大量信息，往往处于优势状态，导致在诉讼过程中，信息主体与信息处理者之间的诉讼地位不平衡。第二，受前数字时代的法律传统之影响，个人主要是通过侵权损害责任为主导的私法救济来获得司法救济。［10］但是，在大多数非法共享及其他不法手段侵害信息主体的案例中，因对于信息主体的损害不明显，从严与从宽界定损害程度的标准差异较大，极易出现“同案不同判”的现象。第三，在公法领域，个人信息保护主要是刑法和行政法保护，只有出现侵权具有较大规模、侵权损害后果的严重情形，刑法和行政法的保护才能起到重要作用，导致公力救济作用发挥也颇为有限。

（三）个人信息共享行业监管亟待加强

2021年11月1日，我国关于个人信息保护的第一部成文法——《个人信息保护法》正式施行，但该法并未明确个人信息保护的专门机构，亦未形成清晰、明确的权责分工界限。其监管方式主要以国家网信部门统筹协调为主，辅以工信、公安、市场监管等行业部门分工负责。上述部门均可结合工作实际，分别对个人信息共享及保护工作进行监管，形成了“多头混治”的局面。此外，个人信息共享与保护涉及经济社会各个行业、领域，内容越来越宽泛，发展逐渐迅速，形势日渐复杂，监管难度也越来越大。如不尽快出台实施办法或细则，极易造成部门之间监管越位、错位、缺位等情况。

三、域外个人信息相关立法探析

（一）美国个人信息共享法律规制

目前，美国尚未出台单行个人信息保护法，主要采取“分权立法”与“行业自律”相互结合的模式，用以构建个人信息保护的法律体系，并且常以“隐私”一词代指个人信息的权利。［11］以2018年美国加利福利亚州通过的《加州消费者隐私法案》（CCPA）为例，该法划清了消费者隐私权的界限，着重突出了个人信息的利用价值，并明确了保护个人隐私的具体措施。该法主要强调了个人信息的可共享性和可出售性，明确了个人信息的经济价值；阐明了企业应履行个人信息共享中的披露义务，在收集个人信息时或之前，应告知消费者要收集的个人信息的类别和用途，以及在消费者要求的情况下披露共享方的类别，但未要求披露共享方的具体情况；对于收集和出售的个人信息的披露，企业必须允许消费者通过至少两种方法提出请求，包括免费电话号码和网站；明确了多样的救济渠道，对于违反CCPA的侵权行为，既可以采取公力救济手段，也可以采取私力救济手段，且允许进行集体诉讼。

（二）欧盟个人信息共享法律规制

欧盟针对个人信息保护采取统一立法的方式，主要有以下特点。一是立法渊源丰富。国家公权力在欧盟及其成员国立法过程中发挥主导作用，通过颁布一系列公约、指导文件、条例和指令来实现建立完整的个人信息保护体系。二是独立的监管机构。每一个成员国都设有独立统一的个人信息监管机构，主要监管本国事务，各监管机构之间可以相互溝通。三是坚持把个人信息权利视为基本人权，强调尊重个人信息是尊重人格尊严的重要组成部分，这种观点贯穿于欧盟个人信息立法体系。［12］《欧盟通用数据保护条例》（CDPR）于2018年在欧盟全域正式实施，是欧洲隐私框架发展过程中的里程碑，该框架由数据保护的哲学方法推动，基于隐私是一项基本人权的概念，对其世界各国均产生了广泛影响。CDPR强调数据处理只有在透明的情况下才是公平的，这意味着必须通过与个人的有效沟通来公开处理数据，包括收集、使用、共享信息。CDPR以用户为中心，必须向个人提供广泛的信息，如有关接收者、保留期及其个人权利范围的详细信息。对于个人信息共享，CDPR规定了个人信息控制者应向数据主体披露收集数据类别与用途等重要信息，并以可理解的语言提供［13］还赋予了信息主体纠正、查询和移除个人信息等权利，进一步明确了个人信息控制者的法定义务，用以更好维护信息主体的权利。

（三）域外规定评析

無论是美国采取的“分权立法”与“行业自律”相结合模式，还是欧盟所采取的统一立法模式，其本质目的都在于更好地维护个人信息安全。二者都强调了信息处理者对于共享信息应建立在信息主体充分“知情同意”的前提下，并且在欧盟CDPR中也强调了信息处理者所提供的相关条款应符合信息主体的理解能力，进一步强化了个人信息主体对于个人信息的控制权。在监管层面，欧盟所建立起的统一个人信息监管部门机构，提升了对于个人信息保护的专门性与专业性。欧盟与美国的立法体系与监管机制对于完善我国个人信息法律保护体系，均具有一定的借鉴意义。

三、数据共享下个人信息法律保护的完善路径

（一）规范信息处理者的义务

在大数据时代背景下，知情同意原则应是个人信息共享过程中必须坚守的准则。在知情同意原则基础上对其作出合理解释，可以强化信息处理者所应遵守并规范的多重义务。

1.恪守知情同意原则下规范详尽告知义务。知情同意原则是指信息收集者在收集信息过程中，应当充分告知信息主体收集、利用和处理个人信息的用途及范围，且应征得信息主体的同意。2012年12月，全国人大常委会颁布了《关于加强网络信息保护的决定》，首次以规范条文形式明确了知情同意原则。此后，《征信业管理条例》和《中华人民共和国网络安全法》等多部法律中相继确立了知情同意原则，《个人信息保护法》也继承并进一步明确了该原则。笔者认为，个人信息共享行为，本质上是信息收集者收集、处理个人信息的行为，应当受到上述知情同意规则的调整和规范。同时，应严格规范详尽告知义务。为切实保护用户的知情权，应用平台应通过清晰明了、简单易懂的方式，向用户提供APP隐私政策摘要，便于用户阅读和理解，［14］并严格执行个人信息保护“双清单”机制。①一是建立已收集个人信息清单。按照《个人信息保护法》相关规定，各应用平台或企业单位建立用户个人信息种类和用途等详细清单，严禁违规收集、超范围收集个人信息。二是建立个人信息共享清单。各应用平台或企业单位应按照隐私政策相关约定，向第三方共享个人信息，并建立授权第三方共享种类、目的和使用场景等具体内容清单，及时向用户履行告知义务，约定发生个人信息滥用或泄漏应承担的民事责任。

2.明确敏感个人信息单独告知义务。由于可共享的个人信息具有丰富性，许多以往不属于个人信息的内容被涵盖在内，其中包含了大量特殊的个人数据，这些数据如被泄露或被非法使用，极易导致信息主体的人格尊严受到侵害，甚至危害其人身财产安全。②我国《个人信息保护法》首次采用了“敏感信息”这一概念，并在第28条以“概括+列举”的方式对敏感个人信息进行了界定，主要包括金融账户、生物识别、日常习惯、生活轨迹以及不满十四周岁未成年人的个人信息等。敏感个人信息的处理与一般个人信息的不同之处在于，在符合特定目的的情形下，还应当取得个人的单独同意授权，不允许通过默示授权的方式作出同意，即不能采取“一揽子”授权方式获得信息主体的授权。③《个人信息保护法》第29条，对处理此类信息作出了明确规定，“取得个人的单独同意”通常是处理敏感个人信息的必要条件。换言之，敏感个人信息不同于与一般个人信息，即使有前期授权，相关企业或平台若想共享、使用，也应取得单独授权。总之，APP应用平台应当恪守单独授权的原则，履行谨慎处理用户权，即敏感个人以逐项授权方式进行，［15］以维护网络平台交易过程中广大用户的合法权益。

3.积极履行“三重授权”原则下的披露义务。在“新浪微博”诉“脉脉”一案中，审判机关首次提出了用户授权+平台方/公司授权+用户授权的“三重授权”原则。其主要内容是，数据提供方如向第三方开放相关数据应当征得用户的同意，且第三方使用用户信息时，还应告知其应用的用途、形式和具体范围，并再次征得用户同意。目前，该原则已逐步成为数据提供方主张数据获取方行为不当的“有力武器”，且不断对后续相关案件的裁判产生了重要影响。总体上看，“三重授权”有利于建立稳定、和谐的数据开放与共享关系，对于用户来说也增加了一道保护屏障。但由于大数据时代数据共享已经成为了提高数据资源利用、促进平台经济发展的重要方式和手段，如果要求平台企业每次共享数据时，均须严格履行“三重授权”原则，不断更新隐私政策以完成知情同意的相关要件，就会大大增加其共享的成本，降低其共享数据的主动性与创造性。笔者认为，在履行披露义务的基础上，应当对于披露的标准进行一定修正，可借鉴欧美相关立法，严格按照程序披露共享第三方的类别、处理方式和用途。［16］

（二）优化个人信息保护监管模式

毋庸置疑，在个人信息共享保护的法律规制中，行政监管发挥着重要作用。从欧盟及有关国家个人信息保护监管来看，通过利用独立的监管机构在相关监管领域的专业知识来降低决策成本，一直是监管者合法化的重要来源，对于个人信息保护的监管往往采取设立独立统一的数据保护机构已经成为了重要的监管方式。笔者认为，可借鉴域外经验做法，推动个人信息保护监管执法的高效开展，从而改变“多头混治”的局面。应突出国家网信部门的统筹协调作用，在现有法律基础上出台相应的实施办法或细则，进一步明确国家网信部门对“个人信息保护和监督管理工作”具有最终解释权。与此同时，应发挥各行业主管部门的专业优势，借鉴美国个人信息行业自律监管模式，相关部门既各司其职、各负其责，又密切配合，形成齐抓共管的工作合力。

（三）全面落实《个人信息保护法》强化公益诉讼功能

在个人信息的社会保护模式中，保护个人信息的责任主体以社会为主、个人为辅，［17］理应成为必然趋势。这一做法可以有效解决自然人信息主体寻求司法救济成本高、难度大、诉讼地位不平衡等问题。我国《个人信息保护法》明确了侵害个人信息公益诉讼机制，进一步拓展了个人信息救济途径。第70条明确规定了个人信息保护公益诉讼的适格主体为人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。由于公益诉讼过程中，存在相关组织和职能部门的介入，对个人信息保护则更具专业性和权威性。［18］目前，我国对于个人信息公益诉讼仍处于探索、起步阶段，未来具体适用时还应进一步厘清和划分主体范围，进一步强化公益诉讼在个人信息救济过程中的重要作用。

（四）提升用户个人信息安全意识

由于大多数用户在使用APP时，通常急于进入运行界面享受相应APP服务或对于个人信息共享持非保守态度，往往在阅读APP提供的“隐私政策”时仅快速浏览或几乎跳过“隐私政策”内容就默认同意。且在日常生活中大部分用户只要自身财产安全未受到影响或损害，就不会重视个人信息安全问题，更不会花费对应的时间和精力，用法律手段来维护自身的合法利益。因此，提高公民的信息安全意识与维权意识，可以使公民在成为“用户”过程中一定程度减少被侵害的可能性。筆者以为，公民应当了解“隐私政策”对于个人信息安全的重要意义，知悉个人信息共享相关知识、共享条款中具体术语的含义，为自身的信息不被非法共享做好防护。同时，应当加强社会面宣传，不断拓展宣传方式，着力营造浓厚氛围，让保护个人信息成为全民行动。

五、结语

APP个人信息共享已经成为大数据时代商业发展的常态，加强个人信息共享行业规范和法律规制，对于企业与个人均有益处。目前，APP个人信息共享中仍然存在信息处理者利用优势地位违规收集、共享个人信息、监管体系混乱和司法救济成本高、难度大等诸多问题。对此，首先应当从信息处理者自身行为角度出发，在合理解释知情同意原则的情况下，进一步规范信息处理者的对应义务。其次，应从我国的个人信息监管层面出发，在现有监管体系上实现优化，将最终解释权归属于统一、专业部门，有效解决“多头混治”的监管问题。最后，在个人信息的司法救济层面，应巩固个人信息公益诉讼的地位，构建起完整的个人信息公益诉讼体系，以解决目前私法、公法救济尚存不足的实际问题。

〔参 考 文 献〕

［1］［5］袁真富，娄积圆.论个人信息共享问题的法律治理模式［J］.情报理论与实践，2021，44（01）：89-95.

［2］丁晓东.用户画像、个性化推荐与个人信息保护［J］.环球法律评论，2019，41（05）：82-96.

［3］Purtova N.The law of everything. Broad concept of personal data and future of EU data protection law［J］.Taylor and Francis Ltd. 2018（０1）.

［4］王利明. 论个人信息权在人格权法中的地位［J］.苏州大学学报（哲学社会科版），2012，33（06）：68-75+199-200.

［6］向秦，高富平.论个人信息权益的财产属性［J］.南京社会科学，2022（02）：92-101.

［7］张涛.探寻个人信息保护的风险控制路径之维［J］.法学，2022（06）：57-71.

［8］艰难维权：五起个人信息泄露案件分析［EB/OL］.（2015-01-19）［2022-11-25］.https：//tech.sina.com.cn/i/2015-01-19/doc-ichmifpx4644951.shtml.

［9］程啸.侵害个人信息权益的侵权责任［J］.中国法律评论，2021（05）：59-69.

［10］丁晓东.从个体救济到公共治理：论侵害个人信息的司法应对［J］.国家检察官学院学报，2022，

30（05）：103-120.

［11］Reidenberg， Joel K. Setting Standards for Fair Information Practice in the L.S. Private Sector. Iowa Law Review， Vol.80，Issue 3 （May 1995）：498

［12］Hoofnagle CJ， Sloot B， Borgesius FZ. The European Union general data protection regulation： what it is and what it means［J］. Information & communications technology law， 2019， 28（1）：65-98.

［13］Goddard， Michelle. The EU General Data Protection Regulation （GDPR）： European regulation that has a global impact［J］. International journal of market research，2017，59（０6）：703-705.

［14］程啸.论个人信息处理者的告知义务［J］.上海政法学院学报（法治论丛），2021，36（05）：67-80.

［15］王利明.敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景［J］.当代法学，2022，36（01）：3-14.

［16］王炜炫.跨APP个人信息共享的法律规制［J］.南方金融，2022（06）：90-100.

［17］高富平.个人信息保护：从个人控制到社会控制［J］.法学研究，2018，40（03）：84-101.

［18］王利明，丁晓东.论《个人信息保护法》的亮点、特色与适用［J］.法学家，2021（06）：1-16+191.

〔责任编辑：孙玉婷〕

收稿日期：２０23 — 01 — 12

作者简介：侯世坤（2001—），女，黑龙江齐齐哈尔人，学生，主要研究方向：法学研究。